Decisão · STJ

STJ REsp 2222059

Rel. RICARDO VILLAS BÔAS CUEVAjulgado em 2025-07-01publicado em 2025-10-13
CONSUMIDOR
RECURSO ESPECIAL. DIREITO DO CONSUMIDOR. DISPOSITIVOS CONSTITUCIONAIS. VIOLAÇÃO. ANÁLISE. IMPOSSIBILIDADE. INSTITUIÇÃO DE PAGAMENTOS. GOLPE DE ENGENHARIA SOCIAL. FALSA CENTRAL DE ATENDIMENTO. OPERAÇÕES REALIZADAS. CIRCUNSTÂNCIAS. ANÁLISE. NECESSIDADE. PRESTAÇÃO DE SERVIÇO. DEFEITO CONFIGURADO. 1. A controvérsia dos autos resume-se a saber se as instituições de pagamento, à semelhança das instituições bancárias, estão obrigadas a desenvolver mecanismos inteligentes de prevenção e bloqueio de fraudes, capazes de identificar comportamentos atípicos e agir rapidamente para evitar prejuízos. 2. Nos termos do art. 105, III, da Constituição Federal, não compete a esta Corte o exame de suposta violação de dispositivos constitucionais, ainda que para fins de prequestionamento, sob pena de invasão da competência atribuída ao Supremo Tribunal Federal. 3. De acordo com a orientação emanada da Súmula nº 479/STJ, as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. 4. Toda a compreensão que esta Corte Superior já firmou no tocante às obrigações impostas às instituições bancárias, inclusive no que se refere à incidência do Código de Defesa do Consumidor (Súmula nº 297/STJ), é inteiramente aplicável às instituições de pagamento, às quais também é atribuído o dever de processar com segurança as transações dos usuários finais, por expressa disposição do art. 7º da Lei nº 12.865/2013. 5. A responsabilidade das instituições de pagamento, e de todos aqueles que integram os denominados arranjos de pagamento, somente poderá ser afastada se comprovada a inexistência de defeito na prestação do serviço ou a culpa exclusiva do consumidor ou de terceiro, a teor do disposto no § 3º do art. 14 do Código de Defesa do Consumidor. 6. Constitui atribuição das instituições financeiras, e de todas aquelas que participam dos denominados arranjos de pagamento, criar mecanismos capazes de identificar e coibir a prática de fraudes e de mantê-los em constante aprimoramento, em virtude do dever de gerir com segurança as movimentações de dinheiro dos seus clientes e do elevado grau de risco da atividade por elas desempenhada. 7. Se o serviço não fornece a segurança que dele se pode esperar, levando em consideração o modo do seu fornecimento e o resultado e os riscos que razoavelmente dele se esperam, é ele defeituoso, nos termos do § 1º do art. 14 do Código de Defesa do Consumidor. 8. Uma vez comprovada a hipótese de vazamento de dados por culpa da instituição financeira ou instituição de pagamento, será dela, em regra, a responsabilidade pela reparação integral de eventuais danos. Hipótese descartada no caso concretamente examinado. 9. Para a identificação de possíveis fraudes, os sistemas de proteção contra fraudes desenvolvidos pelas instituições bancárias/de pagamento devem considerar i) as transações que fogem ao perfil do cliente ou ao seu padrão de consumo; ii) o horário e o local em que as operações foram realizadas; iii) o intervalo de tempo entre uma e outra transação; iv) a sequência das operações realizadas; v) o meio utilizado para a sua realização; vi) a contratação de empréstimos atípicos em momento anterior à realização de pagamentos suspeitos; enfim, diversas circunstâncias que, conjugadas, tornam possível ao fornecedor do serviço identificar se determinada transação deve ou não ser validada. 10. A validação de operações suspeitas, atípicas e alheias ao perfil de consumo do correntista deixa à mostra a existência de defeito na prestação do serviço, a ensejar a responsabilização das instituições financeiras e das instituições de pagamento. 11. Hipótese em que a) todas as operações bancárias, em um total de 14 (quatorze), foram realizadas no mesmo dia; b) a conta era utilizada como uma espécie de poupança, com pouquíssimas movimentações, e c) as transações realizadas fogem do perfil de consumo do correntista. 12. Recurso especial provido. RELATÓRIO Trata-se de recurso especial interposto por JOSÉ WILSON SOARES DE LOIOLA, com fundamento no art.105, III, alíneas "a" e "c", da Constituição Federal, contra acórdão do Tribunal de Justiça do Estado de São Paulo assim ementado: "AÇÃO DECLARATÓRIA DE INEXIGIBILIDADE DE DÉBITO C.C. INDENIZAÇÃO POR DANOS MORAIS - Golpe da falsa central de atendimento - Autor que, após receber ligação supostamente do banco, realizou transações bancárias seguindo orientações de estelionatários - Sentença que julgou parcialmente procedentes os pedidos - Pretensão do réu de reforma - ADMISSIBILIDADE: Autor entrou em contato com os estelionatários, seguiu as instruções deles e realizou as transações bancárias mediante utilização de senha pessoal e intransferível. Ausência de falha na prestação de serviço do Banco em decorrência de fortuito externo. Colaboração involuntária da vítima. Culpa de terceiro fraudador. Nexo causal rompido. Aplicabilidade do art. 14, § 3º, II, do CDC. Sentença reformada. RECURSO PROVIDO" (e-STJ fl. 538). Os embargos de declaração opostos na origem foram rejeitados. No recurso especial (e-STJ fls. 313-334), o recorrente aponta, além de divergência jurisprudencial, violação dos seguintes dispositivos legais, com as respectivas teses: a) art. 14 do Código de Defesa do Consumidor - houve falha da instituição financeira na prestação de serviços, ao permitir o vazamento de dados pessoais e ao facilitar a aplicação de golpes; b) arts. 42, 44 e 46 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados) - o banco, como controlador de dados, não adotou medidas de segurança adequadas para proteger os dados pessoais do correntista, permitindo o acesso não autorizado e causando danos patrimoniais e morais, e c) art. 5º, LXXIV, da Constituição Federal - estão presentes, no caso, os pressupostos para o deferimento do pedido de assistência jurídica integral e gratuita. Apresentadas as contrarrazões (e-STJ fls. 606-628) e admitido o recurso na origem, subiram os autos a esta Corte Superior. É o relatório. EMENTA RECURSO ESPECIAL. DIREITO DO CONSUMIDOR. DISPOSITIVOS CONSTITUCIONAIS. VIOLAÇÃO. ANÁLISE. IMPOSSIBILIDADE. INSTITUIÇÃO DE PAGAMENTOS. GOLPE DE ENGENHARIA SOCIAL. FALSA CENTRAL DE ATENDIMENTO. OPERAÇÕES REALIZADAS. CIRCUNSTÂNCIAS. ANÁLISE. NECESSIDADE. PRESTAÇÃO DE SERVIÇO. DEFEITO CONFIGURADO. 1. A controvérsia dos autos resume-se a saber se as instituições de pagamento, à semelhança das instituições bancárias, estão obrigadas a desenvolver mecanismos inteligentes de prevenção e bloqueio de fraudes, capazes de identificar comportamentos atípicos e agir rapidamente para evitar prejuízos. 2. Nos termos do art. 105, III, da Constituição Federal, não compete a esta Corte o exame de suposta violação de dispositivos constitucionais, ainda que para fins de prequestionamento, sob pena de invasão da competência atribuída ao Supremo Tribunal Federal. 3. De acordo com a orientação emanada da Súmula nº 479/STJ, as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. 4. Toda a compreensão que esta Corte Superior já firmou no tocante às obrigações impostas às instituições bancárias, inclusive no que se refere à incidência do Código de Defesa do Consumidor (Súmula nº 297/STJ), é inteiramente aplicável às instituições de pagamento, às quais também é atribuído o dever de processar com segurança as transações dos usuários finais, por expressa disposição do art. 7º da Lei nº 12.865/2013. 5. A responsabilidade das instituições de pagamento, e de todos aqueles que integram os denominados arranjos de pagamento, somente poderá ser afastada se comprovada a inexistência de defeito na prestação do serviço ou a culpa exclusiva do consumidor ou de terceiro, a teor do disposto no § 3º do art. 14 do Código de Defesa do Consumidor. 6. Constitui atribuição das instituições financeiras, e de todas aquelas que participam dos denominados arranjos de pagamento, criar mecanismos capazes de identificar e coibir a prática de fraudes e de mantê-los em constante aprimoramento, em virtude do dever de gerir com segurança as movimentações de dinheiro dos seus clientes e do elevado grau de risco da atividade por elas desempenhada. 7. Se o serviço não fornece a segurança que dele se pode esperar, levando em consideração o modo do seu fornecimento e o resultado e os riscos que razoavelmente dele se esperam, é ele defeituoso, nos termos do § 1º do art. 14 do Código de Defesa do Consumidor. 8. Uma vez comprovada a hipótese de vazamento de dados por culpa da instituição financeira ou instituição de pagamento, será dela, em regra, a responsabilidade pela reparação integral de eventuais danos. Hipótese descartada no caso concretamente examinado. 9. Para a identificação de possíveis fraudes, os sistemas de proteção contra fraudes desenvolvidos pelas instituições bancárias/de pagamento devem considerar i) as transações que fogem ao perfil do cliente ou ao seu padrão de consumo; ii) o horário e o local em que as operações foram realizadas; iii) o intervalo de tempo entre uma e outra transação; iv) a sequência das operações realizadas; v) o meio utilizado para a sua realização; vi) a contratação de empréstimos atípicos em momento anterior à realização de pagamentos suspeitos; enfim, diversas circunstâncias que, conjugadas, tornam possível ao fornecedor do serviço identificar se determinada transação deve ou não ser validada. 10. A validação de operações suspeitas, atípicas e alheias ao perfil de consumo do correntista deixa à mostra a existência de defeito na prestação do serviço, a ensejar a responsabilização das instituições financeiras e das instituições de pagamento. 11. Hipótese em que a) todas as operações bancárias, em um total de 14 (quatorze), foram realizadas no mesmo dia; b) a conta era utilizada como uma espécie de poupança, com pouquíssimas movimentações, e c) as transações realizadas fogem do perfil de consumo do correntista. 12. Recurso especial provido.
← Buscar mais precedentes Ver no site oficial do tribunal →